Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplimiento

Alineando su Estrategia de Seguridad, Visibilidad y Cumplimiento

Ivan Anaya Systems Engineer

Copyright © 2014 Symantec Corporation2

Agenda

1 Introducción

2 Gestión de Riesgos

3 Leyes y Regulaciones

4 Symantec Control Compliance Suite

Symantec Enterprise Security | ESTRATEGIA DE SEGURIDAD

3

Protección contra Amenazas

ENDPOINTS DATA CENTER GATEWAYS

• Protección contra amenazas avanzada en todos los puntos de control• Built-In Forense y remediación Dentro de cada punto de control• Protección integrada en servidores: On-Premise, Virtuales y Cloud• Gestión basada en la nube para puntos finales, Datacenter y

Gateways

Plataforma Unificada de Analisis de Seguridad

Recolección de logs y telemetria

Unificar Administración de incidentes

Integración Inlinepara Closed-loopInteligencia Accionable

Regional and Industry Benchmarking

Integración del Analisis de las amenazas y su comportamiento

Protección de los Datos

DATA IDENTITIES

• Datos compuestos y Protección de la identidad

• Seguridad para la nube y aplicaciones móviles• Análisis de usuario y comportamientos• Cifrado basado en la nube y administración

de claves

Users

Data

Apps

Cloud

Endpoints

Gateways

Data Center

Servicios de Ciber-Seguridad - Cyber SecurityMonitoreo, Respuesta a incidentes, Simulación, Adversary Threat Intelligence – Protección contra amenazas avanzadas

Copyright © 2015 Symantec Corporation

4

Panorama de AtaquesAtacantes moviéndose rápidamente Incremento de

extorsiones digitalesMalware mas

inteligente

Ataques del Día-Zero Múltiples sectores atacados

5 de las 6 compañías

mas grandes atacadas

317M nuevo

malware creado

1M nuevos threats

diariamente

60% de los ataques

dirigidos a PyME

113% Incremento de

ransomware

45X móviles rehenes

28% del malware fue

“Virtual Machine Aware”

24 Máximo Histórico

Top 5 unpatched

for 295 days

24

Salud+ 37%

Retail+11%

Educación+10%

Gobierno+8%

Financiero+6%

Source: Symantec Internet Security Threat Report 2015

Tendencias Clave Reajustando el Área de la Seguridad Informática

RESURGIMIENTO DE PUNTO FINAL

Cambio rápido a Móviles y IoT

DESAPARICIÓN DEL PERIMETRO

Cada vez menos relevante "difuso"

ADOPCIÓN RAPIDA DE CLOUD

Datos de la empresa y aplicaciones móviles en nube

SERVICIOS Seguridad como servicio

CYBERSECURITYGobiernos y reguladores juegan un papel cada vez mayor

5Copyright © 2015 Symantec Corporation

6

¿Qué tan ágil es su seguridad?

Que tan rápido puede descubrir y asegurar discover & secure?

Si hay cambios en aplicaciones y plataformas, que tan rapido puede ajustar la seguridad en respuesta a estos cambios?

Cómo esta protegiendo aplicaciones criticas corriendo en ambientes legacy y plataformas no soportadas (EOL)?

¿Cuánto tiempo necesita para provisionar seguridad para nuevos sistemas de información, tareas o ambientes?

Si hay una nueva vulnerabilidad crítica, qué tan rápido puede escanear, evaluar y asegurar sus sistemas contra los exploits?

Si algún área se ve comprometida, Qué tan rápido se puede prevenir la propagación de la infección?

Copyright © 2015 Symantec Corporation

Marco General para Identificar Oportunidades en Auditoría y Control de Riesgos: Mapeo Symantec 7

Fundamentos - GRC: Gobierno, Riesgo y Cumplimiento


Agenda

1 Introducción




Gestión de Riesgo y Cumplimiento – Principales Preocupaciones

9

Cumplimiento de Leyes

Estar adelante de las amenazas

Tener foco en las prioridades

Construir un programa de riesgos sostenible

Conectar al negocio

Dificultad para traducir problemas tecnológicos a necesidades del negocio.

Sólo 1 de cada 8 departamentos tecnológicos son influenciadores para el negocio

Retos que limitan la Evolución de la Seguridad

10

• Enfoque manual, menor exactitud• Vistas Incompletas• Incapacidad de actualización en ambientes

dinámicos

Recolección de Datos Manual

Operación en Silos

• Áreas tecnológicas vistas como el “Dr No”• Visibilidad limitada en operaciones tecnológicas• Incapacidad de comunicar en términos del negocio

• Propensos a errores o disputas• Limitado a una captura estática• Falta de métricas para el seguimiento

Evaluaciones Subjetivas

11

Como Enfrentar los Retos

2

• Plantear conclusiones justificadas

• Priorizar problemas basados en riesgos del negocio en lugar de su severidad técnica

• Remediación basada en prioridades

Priorización Basada en Riesgos

1

• Transmitir el impacto de los riesgos tecnológicos en términos relevantes al negocio• Impulsar conciencia,

acciones y responsabilidad basado en métricas

• Eliminación de silos entre áreas de seguridad y operativas

Mejorar la Visibilidad

3

• Evaluaciones automáticas y ciclo de vida de la remediación

• Simplifica el proceso de evaluaciones continuas para tener información exacta y actualizada

• Habilitación de respuesta a incidentes sobre demanda

Automatización

12

Centrado en Cumplimiento

Centrado en Riesgo

• Impulsado por mandatos externos

• Foco en pasar/fallar puntos de control

• Alto número de auditorias

• Necesidades Internas y Contexto Externo

• Foco en mejora continua• Acciones basadas en priorización de

riesgos• Soluciones holísticas para Negocio

Gestión de Riesgo y Cumplimiento – Principales Preocupaciones


Agenda

1 Introducción




14

Causas Principales de la Fuga de DatosFuente: Symantec

Hackers

Datos Publicados Accidentalmente

Robo o Pérdida de Equipo o USB

Robo Interno

Desconocido

Fraude

34%29%

27%6%

2%2%

87

72

69

15

6

4

253TOTAL

Cantidadde Incidentes

Combinados, el robo o pérdida de un dispositivo + la fuga accidental representó el 56% de los incidentes de violación de datos.

#ISTR #Symantec

Regulaciones y Leyes Mejores Prácticas y Marcos

Regulaciones, Leyes, Mejores Prácticas

ISO/IEC 27002:2005

COSO Enterprise Risk Management

ISO/IEC 27001:2013

CobiT 3, 4, 4.1NIST SP 800-53 Rev. 3

DISA STIG

ISO 18001

PCI DSS v2.0Basel II

Sarbanes-OxleyFIEL Guidance for J-SOX

UK: Data Protection Act

NIST SP 800-122Gramm Leach Bliley Act

HIPAA

NERC CIP 002-009

ISO 9001:2000

HITECHSYMANTEC CONFIDENTIAL. Copyright © 2012 Symantec Corporation. All Rights Reserved.

16

Seguridad de la Información y Cumplimiento Regulatorio…..

• Sudeban (Venezuela)

• Resol. JB 3066:2014 (Ecuador)

• Circular 042 SF (Colombia)

• Ley 1581 Protección de datos (Colombia

• Ley LFPDPPP (México)

• Ley 19.628 Protección de datos (Chile)


Agenda

1 Introducción




EVALUACIÓN CONTROLES

EVIDENCIA

Vision de Symantec para la Gestión de Riesgo y Cumplimiento

Ambiente

PLAN• Definición de Riesgos y Objetivos del

Negocio• Creación de Políticas y Mandatos• Mapeo de Controles

REPORTEO• Demostración de niveles de

cumplimiento• Correlación de riesgos y activos del

negocio• Gráficos de nivel ejecutivo

\EVALUACIÓN• Identificación de desviaciones de

estándares técnicos• Descubrimiento de

vulnerabilidades críticas• Evaluación de controles• Información de terceros

REMEDIACIÓN

• Priorización basada en el riesgo• Seguimiento del proceso de

remediación• Integración con Mesas de Ayuda

StakeholdersSecurity / Audit IT / Operations Business / Mgmt.

ASSETS CONTROLS

EVIDENCE

EVALUACIÓN CONTROLES

EVIDENCIA

Symantec Control Compliance Suite – Overview

Ambiente

PLAN

• Define business risk objectives• Create policies for multiple mandates• Map to controls and de-duplicate

REPORT• Demonstrate compliance to multiple

stakeholders• Correlate risk across business assets• High level dashboards with drill down

\ASSESS• Identify deviations from technical

standards• Discover critical vulnerabilities• Evaluate procedural controls• Combine data from 3rd party sources

REMEDIATE

• Risk-based prioritization• Closed loop tracking of deficiencies• Integration with ticketing systems

PLAN REPORTEO

\EVALUACIÓN REMEDIACIÓN

CCS

Stan

dard

s M

anag

er

CCS

Asse

ssm

ent

Man

ager

Sym

ante

c &

Exte

nded

Dat

a Co

nnec

tors

CCS Reporting & Analytics

CCS Dynamic Dashboards

Symantec ServiceDesk

3rd Party Ticketing

Integration

Symantec Workflow

Integration

CCS Policy Manager

CCS Risk Manager

CCS Content

StakeholdersSecurity / Audit IT / Operations Business / Mgmt.

CCS

Vend

or

Risk

Man

ager

*

20

Enfo

que A

scen

dent

e

Enfoque AscendenteEVALUACIÓN CONTROLES

EVIDENCIA

Base de Datos Relacional

Controles Técnicos Nativos

1 Cuestionarios2 Información de Terceros

3

Reportes y Gráficos

4

Vision Symantec - Gestión de Riesgo y Cumplimiento

Solving IT Risk and Compliance Challenges

Definir, Divulgar y Gestionar PolíticasControl Compliance Suite Policy Manager

• Políticas pre-configuradas (Out-of-box)

• Políticas alineadas a controles

• Actualizaciones automáticas de regulaciones

• Ciclo de vida de políticas de TI automático

Corporate Policy Lifecycle

1. Define 2. Review

5. Track Acceptances/ Exceptions

3. Approve

4. Distribute

21

Automatizar la Valoración de Riesgos de Activos de Información y la carga de ControlesControl Compliance Suite Standards Manager

1. Define Standards

3. Analyze and Fix

2. Managed/Unmanaged Assets

Evaluate (agent and/or agent-less)• Evaluación automática de controles técnicos

• El mejor contenido pre-empacado de su clase

• Administración de excepciones

• Soporte de colección de datos basado en agentes y sin agentes

22Solving IT Risk & Compliance Challenges - Symantec Confidential

Evaluación Automática de Controles y ProcedimientosControl Compliance Suite Assessment Manager• Evaluación automática de controles

procesales

• Remplazo de procesos manuales costosos

• Cuestionarios Web

• Cobertura de 60+ regulaciones/marcos

• Seguimiento de respuestas, aceptaciones, excepciones y requerimientos de clarificaciones

• Entrenamientos de seguridad – Evaluación del riesgo a proveedores

Consolidate responses

Administer Survey

Analyze Results

Distribute via web

Respondents


Solving IT Risk & Compliance Challenges - Symantec Confidential24

Valoraciones de riesgos en Terceras Partes

• Programa de evaluación de riesgos a proveedores escalable

• Puntuaciones calculadas automáticamente basadas en evidencia

• Niveles de proveedores basados en el riesgo de la información y criticidad del negocio

• Repositorio centralizado basado en Web

Control Compliance Suite Vendor Risk Manager

Assign vendor

tier

Initiate vendor assessment schedule

Collect vendor

evidence

Route and review

submitted evidence

Authorize or remediate

vendor

Continuous vendor risk monitoring

Vendor Risk Manager

Administración y Recolección Centralizados de datos y evidenciasControl Compliance Suite Infrastructure• Combinación de evidencia de

múltiples sistemas

• Formato de evidencias y mapeo de políticas y regulaciones

• Vistas con información del cumplimiento

• Mayor visibilidad en lis riesgos de TI

• Minimizar tareas administrativas

External Evidence System

Evidence Provider

Control Compliance Suite


Connect to Evidence Provider

1

Collect evidence

Format and store data

Map data to policiesand regulations

Triggerdata evolution

Triggerreporting job


3

2

5

4

6


Mitigación Basada en Riesgo Control Compliance Suite Infrastructure• Asignación de puntuación de

riesgos y puntuación de complimiento

• Priorización de tareas de remediación

• Integración con mesas de ayuda de terceros

• Integración con Symantec ServiceDesk

• Guías de remediación detalladas para una respuesta más ágil


Definición de Objetivos de Seguridad, Riesgo, Cumplimiento y MétricasControl Compliance Suite Risk Manager• Definición de riesgos y

umbrales basados en el negocio

• Mapeo de riesgos a activos, controles y dueños

• Generación de gráficos basados en riesgo para diferentes usuarios

• Reducción del riesgo sobre el tiempo

• Remediación del riesgo basado en prioridades del negocio

Overall Risk Score: 8.8




My Online Web StoreHigh exposure to current malware threatsHigh # of compliance assessment failureNo evidence on successful incident response testing

HR SystemMedium exposure to current malware threatsHigh # of compliance assessment failureNo evidence on successful incident response testing

Inventory SystemLow exposure to current malware threatsNo compliance failures

Finance SystemLow exposure to current malware threatsZero information leakage incidents


Generación de Reportes de Riesgo y Cumplimiento, Atención automáticade AuditoriasControl Compliance Suite Infrastructure

• Gráficos y reportes dinámicos

• Combinar información de CCS e información de terceros

• Múltiples vistas y filtros

• Gráficos granulares y detallados

• Reportes personalizables a múltiples niveles

Risk dashboard



Metodología de consultoría

ASSESS DESIGN TRANSFORM OPERATE

El modelo ADTO utiliza cuatro fases para la entrega de los servicios que son comúnmente utilizadas en la industria de IT. Las fases se describen a continuación:

• Assess (Valorar/Evaluar):Obtener un entendimiento del ambiente del cliente y los requerimientos de la solución.

• Design (Diseño): Entender los requerimientos del cliente al nivel necesario para diseñar una solución y definir su arquitectura.

• Transform (Transformar/Implementar): Implementar o actualizar una solución

acorde con su diseño.

• Operate (Operar): Proveer servicios de operación de la solución o soluciones implementadas.


Servicios de consultoría

ASSESS DESIGN TRANSFORM OPERATE

Servicios

para soluciones Symantec

HealthCheck Diseño y Arquitectura de solución

StartUp Full implementation QA & QC

Bolsa de horas Servicio de residente Workshops de

entrenamiento

Servicios

de Gestión y Riesgos

PenTest Risk Assessment Compliance/GAP

assessment (regulatory, PCI, security standards)

ISMS (ISO 27001) Awareness Program CSIRT

ISMS (ISO 27001) Awareness Program CSIRT

Servicio de residente: CISO Security Analyst Incident Analyst

Bolsa de horas

PM Project Management

Thank you!

Copyright © 2014 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

Ivan [email protected]

mailto:[email protected]

Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplimiento

Technology

Transcript of Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplimiento